Nobelium, групата зад нападот на SolarWinds, сè уште има на располагање голем арсенал на напредни хакерски способности. Ова е заклучокот на безбедносните специјалисти на Mandiant во една неодамнешна студија. Опасноста од овие -веројатно поддржани од државата- хакери сè уште не е помината.
Пред една година хакерите на Nobelium успеаја да го пробијат американскиот специјалист за безбедност SolarWinds. Последователно, многу клиенти на овој специјалист за безбедност беа хакирани, околу 18,000, вклучувајќи го Мајкрософт и американската влада. Ова со сите свои последици.
Понатамошната истрага за позадината на хакерите откри дека хакерите на Nobelium се осомничени дека добивале помош од некоја земја. Ова е веројатно Русија.
Нобелиум е најпознат по своите напредни тактики, техники и процедури, познати и како ТТП. Наместо да ги напаѓаат своите жртви една по една, тие претпочитаат да изберат една компанија која опслужува повеќе клиенти. Преку хакирање на последната компанија, хакерите бараат еден вид „главен клуч“ кој потоа едноставно ги „отвара“ вратите за клиентите.
Истражувачки Mandiant
Истражувањето на Mandiant покажува дека Nobelium и двете хакерски групи UNC3004 и UNC2652 кои се дел од овој хакерски конгломерат, дополнително ги усовршиле своите ТТП активности. Особено за напади на cloud продавачите и MSP за да стигнат до уште повеќе бизниси.
Новите техники на хакерите се употребата на ингеренциите добиени преку кампањи за малициозен софтвер за крадење информации на други хакери. Со ова хакерите Nobelium го бараа првиот пристап до жртвите. Хакерите користеле и сметки со привилегии за имитирање на апликацијата за да „соберат“ чувствителни податоци за е-пошта. Хакерите, исто така, користеле и IP прокси услуги за потрошувачите и нова локална инфраструктура за да комуницираат со погодените жртви.
Други техники
Тие, исто така, користеа нови TTP способности за заобиколување на безбедносните ограничувања во различни средини, вклучително и виртуелни машини, за одредување на внатрешни конфигурации за рутирање. Друга користена алатка беше новиот симнувач CEELOADER. Хакерите дури успеаја да навлезат во активни директориуми на сметките на Microsoft Azure и да украдат „главни клучеви“ кои овозможуваат пристап до директориумите на клиентите на засегнатата страна. Конечно, хакерите успеаја да ја злоупотребат автентикацијата со повеќе фактори користејќи push известувања на паметните телефони.
Истражувачите на Mandiant забележале дека хакерите главно биле заинтересирани за податоци кои се важни за Русија. Покрај тоа, во некои случаи биле украдени податоци дека хакерите морале да дадат нови влезови за да нападнат други жртви.
Нобелум постојан проблем
Извештајот заклучува дека нападите на Нобелиум нема да престанат наскоро. Според истражувачите, хакерите продолжуваат да ги подобруваат своите техники и вештини за напад за да останат подолго во мрежите на жртвите, да избегнуваат откривање и да ги оневозможат операциите за обновување.